Nota bene : La présente contri­bu­tion fait partie d’une série de trois contri­bu­tions consa­crées à l’arrêt C­-154/21 rendu par la Cour de justice de l’Union euro­péenne le 12 janvier 2023 concer­nant l’interprétation du droit d’accès (cf. www​.swiss​pri​vacy​.law/​216 pour une analyse de l’arrêt au fond et www​.swiss​pri​vacy​.law/​218 pour des réflexions concer­nant la mise en œuvre pratique de cette juris­pru­dence). Cette deuxième contri­bu­tion vise à déter­mi­ner si une solu­tion iden­tique à celle de la CJUE prévaut à l’aune de la nouvelle Loi fédé­rale sur la protec­tion des données.

I. Introduction

Dans son arrêt du 12 janvier 2023, la Cour de justice de l’Union euro­péenne (CJUE) a tran­ché que le droit d’accès permet à la personne concer­née, à sa demande, de solli­ci­ter du respon­sable du trai­te­ment qu’il lui indique l’identité des desti­na­taires auxquels des données sont ou ont été commu­ni­quées. La CJUE fonde son raison­ne­ment sur l’art. 15 par. 1 let. c RGPD. L’arrêt de la CJUE n’est toute­fois appli­cable qu’au respon­sable du trai­te­ment soumis au RGPD, soit en raison d’une appli­ca­tion terri­to­riale (art. 3 par. 1 RGPD) ou d’une appli­ca­tion extra­ter­ri­to­riale (art. 3 par. 2 RGPD).

En droit suisse, les légis­la­tions – fédé­rales ou canto­nales – en matière de protec­tion des données prévoient égale­ment en faveur de la personne concer­née un droit d’accès. Partant, il est inté­res­sant d’examiner si un raison­ne­ment simi­laire à celui de la CJUE est trans­po­sable en droit suisse, en parti­cu­lier sous l’angle de la nouvelle Loi fédé­rale sur la protec­tion des données (nLPD) qui entrera en vigueur le 1^er septembre 2023 (cf. www​.swiss​pri​vacy​.law/​168).

II. Un droit actuel­le­ment inexistant

À l’heure actuelle, l’art. 8 al. 1 LPD dispose que toute personne peut deman­der au respon­sable du trai­te­ment si des données la concer­nant sont trai­tées (droit de savoir). À lui seul, le droit de savoir est incom­plet et ne permet pas de réali­ser plei­ne­ment la fina­lité du droit d’accès. Il est dès lors complété à l’art. 8 al. 2 LPD par un droit d’être rensei­gné. Ce dernier astreint le respon­sable du trai­te­ment à commu­ni­quer à la personne concer­née toutes les données la concer­nant qui sont conte­nues dans un fichier, y compris les infor­ma­tions dispo­nibles sur l’origine des données (art. 8 al. 2 let. a LPD), ainsi que le but et éven­tuel­le­ment la base juri­dique du trai­te­ment, les caté­go­ries de données person­nelles trai­tées, de parti­ci­pants au fichier et de desti­na­taires des données (art. 8 al. 2 let. b LPD).

Contrairement à sa dispo­si­tion miroir au sein du RGPD, l’art. 8 al. 2 let. b LPD ne prévoit aucune alter­na­tive pour la personne concer­née de se voir remettre soit les desti­na­taires ou les caté­go­ries de desti­na­taires à qui des données person­nelles sont commu­ni­quées. En effet, selon le texte clair de l’art. 8 al. 2 let. b LPD, seules les caté­go­ries de desti­na­taires doivent être remises à la personne concer­née. Cette dispo­si­tion est le reflet de la volonté du légis­la­teur qui, afin de ne pas impo­ser au respon­sable du trai­te­ment un volume de travail exces­sif ou de le contraindre à dévoi­ler ses rela­tions d’affaires, a expres­sé­ment souli­gné vouloir éviter au respon­sable du trai­te­ment de dési­gner nommé­ment les desti­na­taires lors du trai­te­ment d’une demande de droit d’accès (FF 1988 II 421, 460).

III. Un renfor­ce­ment du droit d’accès

Le légis­la­teur ouvrait en 2010 les prémices de la révi­sion de la Loi fédé­rale sur la protec­tion des données. Les buts de cette révi­sion ont été annon­cés dès le départ : euro­com­pa­ti­bi­lité, amélio­ra­tion de la trans­pa­rence des trai­te­ments, renfor­ce­ment des droits de la personne concer­née et des pouvoirs du Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence et élar­gis­se­ment des obli­ga­tions du respon­sable du trai­te­ment. Le droit d’accès est ressorti renforcé de cette révi­sion. Prévu désor­mais à l’art. 25 nLPD, le droit d’accès conserve sa struc­ture initiale qui se décom­pose entre le droit de savoir (art. 25 al. 1 nLPD) et le droit d’être rensei­gné (art. 25 al. 2 nLPD).

La véri­table inno­va­tion se situe à l’art. 25 al. 2 nLPD qui précise l’objet du droit d’être rensei­gné. Désormais le respon­sable du trai­te­ment doit remettre à la personne concer­née toutes les infor­ma­tions néces­saires pour qu’elles puissent faire valoir ses droits et pour que la trans­pa­rence des trai­te­ments soit garan­tie. Dans tous les cas, le respon­sable du trai­te­ment doit lui remettre les infor­ma­tions listées à l’art. 25 al. 2 let. a à g nLPD. Figurent parmi ces infor­ma­tions « les desti­na­taires ou les caté­go­ries de desti­na­taires auxquels des données person­nelles sont commu­ni­quées » (let. g). Il y a là une évolu­tion claire par rapport à l’art. 8 al. 2 let. b LPD puisqu’il est désor­mais expres­sé­ment prévu que les desti­na­taires, et a fortiori leur iden­tité, tombent dans le péri­mètre du droit d’être rensei­gné. Il reste toute­fois à déter­mi­ner, tout comme la CJUE l’a fait en appli­ca­tion du RGPD, s’il s’agit d’un choix alter­na­tif et à qui appar­tient ce choix. L’art. 25 al. 2 let. g nLPD est en effet construit de manière iden­tique à l’art. 15 par. 1 let. c RGPD.

IV. Comment inter­pré­ter l’art. 25 al. 2 let. g nLPD ?

Afin de répondre à cette ques­tion, il y a lieu de procé­der, comme le ferait le Tribunal fédé­ral, à une inter­pré­ta­tion s’inspirant d’un plura­lisme prag­ma­tique pour recher­cher le sens véri­table de la norme.

Le prin­cipe veut que la loi s’in­ter­prète en premier lieu selon sa lettre (inter­pré­ta­tion litté­rale). Le Tribunal fédé­ral ne se fonde cepen­dant sur la compré­hen­sion litté­rale du texte que s’il en découle sans ambi­guïté une solu­tion maté­riel­le­ment juste. Il y a lieu de déro­ger au sens litté­ral d’un texte clair, lorsque des raisons objec­tives permettent de penser que le texte ne resti­tue pas le sens véri­table de la dispo­si­tion en cause et conduit à des résul­tats que le légis­la­teur ne peut avoir voulus et qui heurtent le senti­ment de la justice et le prin­cipe de l’éga­lité de trai­te­ment. De tels motifs peuvent décou­ler des travaux prépa­ra­toires (inter­pré­ta­tion histo­rique), du but de la règle, de son esprit, ainsi que des valeurs sur lesquelles elle repose, singu­liè­re­ment de l’in­té­rêt protégé (inter­pré­ta­tion téléo­lo­gique) ou encore de sa rela­tion avec d’autres dispo­si­tions légales (inter­pré­ta­tion systématique).

A. Interprétation litté­rale et systématique

L’interprétation litté­rale n’est d’aucune aide dans le cas d’espèce. De manière iden­tique au droit euro­péen, les termes « desti­na­taires » et « caté­go­ries de desti­na­taires » sont utili­sés succes­si­ve­ment, l’un après l’autre et de manière neutre, sans qu’il soit possible de déduire un ordre de prio­rité entre eux. Si la loi exprime un choix alter­na­tif entre les desti­na­taires ou les caté­go­ries de desti­na­taires, elle n’in­dique cepen­dant pas à qui revient ce choix. Ce constat prévaut tant pour la version fran­çaise de la loi que pour la version alle­mande ou la version italienne.

En ce qui concerne l’interprétation systé­ma­tique, il est possible de déga­ger de sa rela­tion avec l’art. 19 al. 2 let. c nLPD (devoir d’informer) une inter­pré­ta­tion iden­tique à celle menée par la CJUE. Dans le cadre du devoir d’informer, la CJUE a retenu que le choix de commu­ni­quer l’identité des desti­na­taires ou les caté­go­ries de desti­na­taires revient au respon­sable du trai­te­ment dès lors que l’obligation lui incombe de manière géné­rale. À l’inverse, l’exercice du droit d’accès par la personne concer­née implique logi­que­ment que son titu­laire se voit attri­buer la possi­bi­lité de choi­sir d’obtenir l’accès. Un raison­ne­ment simi­laire devrait être suivi en droit suisse, ce d’autant plus que celui-ci est confirmé, pour le devoir d’informer, par les travaux rela­tifs à la révi­sion (FF 2017 6565, 6669).

B. Interprétation historique

L’interprétation histo­rique néces­site de distin­guer les travaux rela­tifs à la LPD de 1992 des travaux rela­tifs à la LPD de 2020. Admettre que la volonté du légis­la­teur n’a pas changé serait un dange­reux raccourci, ceci d’autant plus que l’un des buts de la révi­sion était d’améliorer la trans­pa­rence des trai­te­ments et que le texte de la loi prévoit désor­mais expres­sé­ment la commu­ni­ca­tion des desti­na­taires ou des caté­go­ries de desti­na­taires. L’interprétation histo­rique néces­site de remon­ter aux prémices de la révi­sion et de procé­der étape par étape.

Le rapport du Conseil fédé­ral du 9 décembre 2011 sur l’évaluation de la Loi fédé­rale sur la protec­tion des données n’aborde pas la ques­tion du droit d’accès. Dans son rapport, le Conseil fédé­ral recon­naît qu’il est essen­tiel d’améliorer la trans­pa­rence des trai­te­ments de données, notam­ment dans les nouveaux contextes complexes dans lesquels les trai­te­ments ne peuvent pas être aisé­ment iden­ti­fiés, et de renfor­cer le contrôle et la maîtrise sur ses données, en parti­cu­lier une fois que celles-ci sont divul­guées. En ce qui concerne le rapport du groupe d’accompagnement du 29 octobre 2014, celui-ci n’aborde pas la question.

La première appa­ri­tion au sein du droit d’accès de permettre à la personne concer­née de se voir remettre les desti­na­taires ou les caté­go­ries de desti­na­taire remonte à l’avant-projet de la loi (AP-LPD). Initialement, le droit d’accès prévu à l’art. 20 al. 2 let. g AP-LPD renvoyait au devoir d’informer de l’art. 13 al. 3 et 4 AP-LPD. Dans le cas d’une demande de droit d’accès, le légis­la­teur avait prévu que :

• si des données person­nelles étaient commu­ni­quées à des tiers, le respon­sable du trai­te­ment aurait dû infor­mer la personne concer­née des desti­na­taires ou des caté­go­ries de desti­na­taires ( 13 al. 3 AP-LPD) ;
• si des données person­nelles étaient confiées à un sous-trai­tant, le respon­sable du trai­te­ment aurait dû commu­ni­quer à la personne concer­née l’identité et les coor­don­nées du sous-trai­tant ( 13 al. 4 AP-LPD).

Une confu­sion (dange­reuse) était faite entre la notion de « tiers » et de « desti­na­taires ». Bien que seul l’alinéa 4 utili­sait la notion « d’identité », il aurait eu fallu dans tous les cas comprendre que la commu­ni­ca­tion des desti­na­taires prévue par l’alinéa 3 implique la commu­ni­ca­tion de leur iden­tité. Au vu de ce qui précède, ni l’AP-LPD ni son rapport expli­ca­tif ne permettent de déter­mi­ner avec exac­ti­tude la volonté du législateur.

Au stade du projet de la loi (P‑LPD), la possi­bi­lité pour la personne concer­née de se voir remettre les desti­na­taires ou les caté­go­ries de desti­na­taires a été direc­te­ment ancrée à l’art. 23 al. 2 let. g P‑LPD. La dispo­si­tion prévoyait que la personne concer­née reçoive « le cas échéant, les desti­na­taires ou les caté­go­ries de desti­na­taires auxquels des données ont été commu­ni­quées […]. » Cette dispo­si­tion a été accep­tée telle quelle par les Chambres fédé­rales et n’a fait l’objet d’aucun débat. En vue de l’établissement de la version finale de la loi, la Commission de rédac­tion de l’Assemblée fédé­rale a toute­fois procédé à deux modi­fi­ca­tions rédac­tion­nelles mineures. La Commission de rédac­tion a remplacé le terme « ont été commu­ni­quées » par « sont commu­ni­quées » (ce qui comprend déjà les données qui ont été commu­ni­quées), ainsi « données » par « données person­nelles ». Au vu de ce qui précède, il n’est pas non plus possible sur la seule base du P‑LPD de déter­mi­ner avec exac­ti­tude la volonté du législateur.

En ce qui concerne le message accom­pa­gnant le P‑LPD, le Conseil fédé­ral ne précise pas la portée de l’art. 23 al. 2 let. g P‑LPD. Il indique néan­moins, en ce qui concerne le devoir d’informer (art. 17 P‑LPD /​ art. 19 nLPD), et plus spéci­fi­que­ment l’obligation à charge du respon­sable du trai­te­ment de commu­ni­quer à la personne concer­née les desti­na­taires ou les caté­go­ries de desti­na­taires auxquels des données person­nelles sont trans­mises (art. 17 al. 2 let. c P‑LPD /​ art. 19 al. 2 let. c nLPD), que le respon­sable du trai­te­ment est libre de déci­der s’il préfère indi­quer les desti­na­taires ou les caté­go­ries de desti­na­taires. Cette appré­cia­tion est fondée sur le droit euro­péen qui laisse effec­ti­ve­ment au respon­sable du trai­te­ment, dans le cadre du devoir d’informer (art. 13 et 14 RGPD), le choix de choi­sir s’il trans­met l’identité des desti­na­taires ou des caté­go­ries de desti­na­taires. Il n’est toute­fois pas possible d’appliquer par analo­gie la volonté du légis­la­teur au droit d’accès, dont le but et la struc­ture sont différents.

Au vu de ce qui précède, l’interprétation histo­rique ne permet pas de déter­mi­ner avec exac­ti­tude s’il appar­tient à la personne concer­née de choi­sir entre les deux options qui sont prévues. Reste que le légis­la­teur avait toute­fois comme objec­tif géné­ral avec la révi­sion de la loi d’assurer une forme d’eurocompatibilité. Cela ne veut toute­fois pas néces­sai­re­ment dire que le légis­la­teur comp­tait reprendre de manière dyna­mique la juris­pru­dence euro­péenne, raison pour laquelle il convient de procé­der à une inter­pré­ta­tion téléologique.

C. Interprétation téléologique

Le droit d’accès est consi­déré par la doctrine et la juris­pru­dence helvé­tiques comme l’institution clé concré­ti­sant la protec­tion de la person­na­lité de la personne concer­née. Afin de respec­ter le droit d’accès, tout trai­te­ment de données person­nelles doit être conforme aux prin­cipes énon­cés aux art. 6 et 8 nLPD, qui consti­tuent le cœur de la nLPD. Figure parmi ceux-ci le prin­cipe de trans­pa­rence qui exige du respon­sable du trai­te­ment de collec­ter des données person­nelles unique­ment pour des fina­li­tés recon­nais­sables pour la personne concer­née (art. 6 al. 3 nLPD). Malgré une formu­la­tion malheu­reuse, le prin­cipe de trans­pa­rence implique que le personne concer­née  dispose d’informations sur la manière dont ses données person­nelles sont trai­tées. À ce titre, le devoir d’informer (art. 19 nLPD) du respon­sable du trai­te­ment a été expres­sé­ment élargi par rapport à la LPD.

À ceci s’ajoute le fait que l’exercice du droit d’accès doit ainsi permettre à la personne concer­née de véri­fier non seule­ment que les données la concer­nant sont exactes, mais égale­ment qu’elles sont trai­tées de manière licite. En cas de trai­te­ment illi­cite, le droit d’accès est néces­saire pour permettre à la personne de faire effec­ti­ve­ment valoir ses autres droits insti­tués par la nLPD.

Il ressort de ce qui précède qu’afin de garan­tir l’effet utile du droit d’accès, et subsi­diai­re­ment des autres droits insti­tués par la nLPD, la personne concer­née doit dispo­ser d’un droit à être infor­mée de l’identité des desti­na­taires concrets dans le cas où ses données person­nelles sont – ou ont déjà été – commu­ni­quées. Admettre l’inverse pour­rait reve­nir à s’écarter du but du droit d’accès, de son esprit et des valeurs sur lesquelles la norme repose. Cela pour­rait égale­ment mini­mi­ser la volonté du légis­la­teur qui avait comme buts d’intensifier la trans­pa­rence des trai­te­ments et de renfor­cer la maîtrise sur ses données.

V. Le risque pénal – une hypo­thèse bien réelle ?

L’art. 60 nLPD sanc­tionne trois compor­te­ments diffé­rents. Parmi ceux-ci, l’art. 60 al. 1 let. a nLPD sanc­tionne la four­ni­ture inten­tion­nelle d’informations inexactes ou incom­plètes en lais­sant penser que celles-ci sont complètes. Le devoir de four­nir les infor­ma­tions néces­saires est la consé­quence du droit d’accès de la personne concer­née prévu à l’art. 25 nLPD. Ainsi, le fait de four­nir inten­tion­nel­le­ment une réponse inexacte ou incom­plète dans le cas d’une demande de droit d’accès tout en lais­sant croire que celle-ci est complète tombe sous le coup de l’art. 60 al. 1 let. a nLPD.

Dans le cas d’espèce, et dans la mesure où l’on retient que la personne concer­née dispose, sur sa demande, d’un droit à être infor­mée de l’identité des desti­na­taires concrets dans le cas où ses données person­nelles sont commu­ni­quées, la ques­tion est de déter­mi­ner si le respon­sable du trai­te­ment viole son devoir de répondre à un droit d’accès en refu­sant de four­nir l’identité des desti­na­taires. À notre avis, si le respon­sable du trai­te­ment refuse de trans­mettre l’identité des personnes concer­nées – par exemple, car il est d’avis que les inté­rêts d’un tiers l’exigent ou que la demande est mani­fes­te­ment procé­du­rière confor­mé­ment à l’art. 26 nLPD –, mais trans­met, à tout le moins, les caté­go­ries des desti­na­taires de données, son compor­te­ment ne devrait pas tomber sous le coup de l’art. 60 al. 1 let. a nLPD ; il appar­tient alors à la personne concer­née d’exercer son action civile en exécu­tion du droit d’accès. En revanche, tombe­rait sous le coup de la dispo­si­tion pénale le fait de ne four­nir inten­tion­nel­le­ment aucune réponse par rapport aux desti­na­taires ou aux caté­go­ries de desti­na­taires de données. Dans le cas où le respon­sable du trai­te­ment décide de four­nir l’identité des desti­na­taires, celui-ci doit prendre toutes les mesures raison­nables afin de four­nir une liste exacte à la personne concer­née ; le fait d’oublier par négli­gence certains desti­na­taires ne serait pas un compor­te­ment tombant sous le coup de l’art. 60 al. 1 let. a nLPD.

VI. Observations

En déci­dant que le droit d’accès permet à la personne concer­née, à sa demande, de requé­rir du respon­sable du trai­te­ment qu’il lui remette l’identité des desti­na­taires auxquelles des données sont commu­ni­quées, la CJUE a ouvert une boîte de Pandore. Bien que la solu­tion de la CJUE n’a aucun effet direct en Suisse – à l’exception pour le respon­sable du trai­te­ment situé en Suisse qui serait soumis au champ d’application extra­ter­ri­to­riale du RGPD – il nous semble probable que le Préposé fédé­ral à la protec­tion des données et à la trans­pa­rence retienne une solu­tion iden­tique sur la base de la nLPD. Bien que l’interprétation s’inspirant d’un plura­lisme prag­ma­tique démontre qu’une solu­tion inverse pour­rait reve­nir à s’écarter du but du droit d’accès, de son esprit et des valeurs sur lesquelles la norme repose et pour­rait mini­mi­ser la volonté du légis­la­teur par rapport aux buts recher­chés lors de la révi­sion de la loi, nous nous inter­ro­geons cepen­dant sur la néces­sité de connaître l’identité des desti­na­taires. Nous doutons que le fait de connaître l’identité exacte du desti­na­taire puisse réel­le­ment renfor­cer la véri­fi­ca­tion de la licéité du trai­te­ment. En prin­cipe, la connais­sance des caté­go­ries de desti­na­taires devrait déjà être apte à permettre cette vérification.